一名資安研究人員Seif Elsallamy發現叫車平台Uber存在安全漏洞,可使有心人士或駭客偽裝成Uber公司發送電子郵件給任何人。Uber似乎知道系統存在這個問題,卻忽視資安人員的提醒,至今尚未修補相關漏洞。
Elsallamy在展示Uber的系統漏洞時,成功透過Uber的官方帳號發送電子郵件給用戶,內容要求用戶輸入個人的信用卡資料,測試結果顯示,有心人士確實能夠透過這個安全漏洞,假扮成Uber官方盜取用戶資訊。
Uber在2016年也曾爆出資安疑慮,當時有5,700萬個乘客和司機的個資被公開,包括姓名、地址、電話號碼等,英國及荷蘭的監管單位因此針對Uber裁罰數十萬歐元。Elsallamy擔心電郵漏洞可能會被用來發送釣魚信件,以盜取這5,700萬名用戶的敏感個資。
Elsallamy透過推特向Uber通報這個問題以後,卻遭到官方忽視,不過這似乎不是Uber第一次這麼做,因為隨後又有3名網友透露,早在去年3月就陸續通報這個安全疑慮給Uber,Uber卻置之不理,至今相關漏洞仍尚未修補。
